Обнаружение компьютерных атак на основе анализа поведения сетевых объектов тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат физико-математических наук Гамаюнов, Денис Юрьевич

1.1. Задача обнаружения компьютерных атак

Данная работа посвящена разработке метода обнаружения атак на распределенные информационные системы (РИС) на основе анализа поведения объектов защищаемой системы. Суть задачи состоит в создании модели компьютерной атаки и метода автоматического обнаружения атаки на основе данной модели, позволяющего обнаруживать компьютерные атаки при наблюдении за поведением объектов РИС и их взаимодействием.

Требуется разработать:

• модель функционирования РИС, пригодную для решения задачи обнаружения атак на РИС;

• метод обнаружения атак на основе предложенной модели.

1.2. Актуальность темы

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в глобальное явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. Одним из первых количественную оценку значимости сетей дал Роберт Меткалф, участвовавший в создании Ethernet: по его оценке «значимость» сети во всех смыслах пропорциональна квадрату числа узлов в ней. То есть, зависимость от нормальной работы сетей растёт быстрее, чем сами сети. Обеспечение работоспособности сети и функционирующих в ней информационных систем зависит не только от надёжности аппаратуры, но и, зачастую, от способности сети противостоять целенаправленным воздействиям, которые направлены на нарушение её работы.

Создание информационных систем, гарантированно устойчивых к вредоносным воздействиям и компьютерным атакам, сопряжено с существенными затратами как времени, так и материальных ресурсов. Кроме того, существует известная обратная зависимость между удобством пользования системой и её защищённостью: чем совершеннее системы защиты, тем сложнее пользоваться основным функционалом информационной системы. В 80-е годы XX века, в рамках оборонных проектов США, предпринимались попытки создания распределенных информационных систем специального назначения (MMS - Military Messaging System) [103], для которых формально доказывалась выполнимость основной теоремы безопасности -невыведение системы из безопасного состояния для любой последовательности действий взаимодействующих объектов. В этих системах использовалось специализированное программное обеспечение на всех уровнях, включая системный. Однако, на сегодняшний день подобные системы не получили развития, и для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства Microsoft Windows, GNU/Linux, *BSD и различные клоны SysV UNIX (Solaris, HP-UX, etc).

Из-за высокой сложности и дороговизны разработки защищенных систем by design, тогда же в 80-е годы XX века появилось и начало активно развиваться направление информационной безопасности, связанное с обнаружением (и, возможно, последующим реагированием) нарушений безопасности информационных систем, в качестве эффективного временного решения, позволяющего закрывать «бреши» в безопасности систем до их исправления [5,32]. Данное направление получило название «обнаружение атак» (intrusion detection); и за прошедшие годы в рамках академических разработок были созданы сотни систем обнаружения атак для различных платформ: от систем класса mainframe до современных операционных систем общего назначения, СУБД и распространённых приложений [7,8,64,69].

Создание эффективных систем защиты информационных систем сталкивается также с нехваткой вычислительной мощности. С самого начала развития компьютеров и компьютерных сетей наблюдаются две тенденции, называемые законом Мура и законом Гилдера. Закон Мура говорит о ежегодном удвоении производительности вычислителей, доступных за одну и ту же стоимость, а закон Гилдера - об утроении пропускной способности каналов связи за тот же период. Таким образом, рост вычислительной мощности узлов сети отстаёт от роста объёмов передаваемой по сети информации, что с каждым годом ужесточает требования к вычислительной сложности алгоритмов систем защиты информации.

Методы обнаружения атак в современных системах обнаружения атак (далее -СОА) недостаточно проработаны в части формальной модели атаки, и, следовательно, для них достаточно сложно строго оценить такие свойства как вычислительная сложность, корректность, завершимость и т.д. [6,7,8,64,69]. Принято разделять методы обнаружения атак на методы обнаружения аномалий и методы обнаружения злоупотреблений [6]. Ко второму типу методов относятся большинство современных коммерческих систем (Cisco IPS, ISS RealSecure, NFR) - они используют сигнатурные (экспертные) методы обнаружения [6,64]. Существует множество академических разработок в области обнаружения аномалий, но в промышленных системах они используются редко и с большой осторожностью, так как такие системы порождают большое количество ложных срабатываний. Для экспертных же систем основной проблемой является низкая, близкая к нулю, эффективность обнаружения неизвестных атак (адаптивность) [7,8,111]. Низкая адаптивность до сих пор остаётся проблемой, хотя такие достоинства как низкая вычислительная сложность и малая стоимость развёртывания определяют доминирование таких систем в данной области.

1.3. Цель работы

Целью данной работы является разработка метода и экспериментальной системы обнаружения атак на РИС на основе наблюдения за поведением объектов РИС, позволяющего объединить достоинства двух подходов - обнаружения аномалий и обнаружения злоупотреблений - при неухудшении показателей эффективности и сложности методов обнаружения злоупотреблений.

В рамках работы ставятся следующие задачи:

• построить модель функционирования РИС, в рамках которой определить такое явление как атака;

• выделить классы реальных атак, представимых в рамках предложенной модели функционирования РИС;

• разработать метод обнаружения атак на РИС на основе информации о поведении объектов РИС;

• разработать архитектуру системы обнаружения атак для РИС на базе ОС GNU/Linux, Windows 2000/ХР и сетевого стека TCP/IP.

1.4. Методы решения

В данной работе предлагается модель функционирования РИС в условиях воздействия компьютерных атак в форме системы переходов, имеющая следующие особенности:

• функционирование РИС определяется через понятие состояния объекта РИС и переходы между состояниями, объекты типизированы;

• множество состояний разделяется на безопасные и опасные состояния;

• вводится понятие траектории и поведения объекта;

• понятие атаки вводится как траектория из безопасного состояния некоторого объекта в опасное;

• для каждого класса атак вводится понятия автомата первого рода, который принимает любую траекторию данного класса;

• для каждого класса объектов вводится понятие автомата второго рода, который принимает любую траекторию данного объекта и позволяет разделить множество траекторий на два класса - нормальных и аномальных.

Предложен язык описания поведения объектов РИС, позволяющий описывать состояния объектов РИС и переходы между ними. В основу языка положен формализм конечных автоматов, в которых переходы между состояниями типизированы, а состояние определяется логическим предикатом.

Описание предложенной экспериментальной системы обнаружения атак включает в себя следующие основные разделы:

• алгоритм обнаружения атак, реализующий метод обнаружения атак на основе описаний поведения объектов РИС и наблюдения за поведением объектов РИС в режиме реального времени;

• архитектура системы обнаружения атак;

• исследование эффективности системы и результаты экспериментов.

1.5. Структура работы

Глава 2 настоящей работы посвящена обзору близких по тематике методов обнаружения атак и ряда современных систем обнаружения атак.

Глава 3 настоящей работы посвящена формальной модели функционирования РИС, на основе которой обосновывается применимость метода обнаружения атак, основанного на анализе переходов состояний, а также производится оценка вычислительной сложности и доказательство корректности метода.

Глава 4 посвящена архитектуре экспериментальной системы обнаружения атак на основе предложенного метода.

Глава 5 посвящена исследованию эффективности экспериментальной системы обнаружения атак.

Основные результаты работы заключаются в следующем:

Построена модель функционирования РИС в условиях воздействия компьютерных атак, в рамках которой задача обнаружения атак сведена к задаче поиска подцепочек в цепочке символов. Данная модель позволила формально оценить вычислительную сложность предложенного в работе метода и показать его корректность;

Предложен гибридный метод обнаружения атак на основе метода анализа систем переходов, позволяющий обнаруживать неизвестные атаки как отклонения наблюдаемого поведения сетевых объектов от нормального;

На основе предложенных методов реализована система обнаружения атак для ОС Linux и Windows 2000/ХР. Данная экспериментальня система показала высокую эффективность обнаружения на испытательном стенде. Экспериментально показана адаптивность системы к неизвестным атакам. Предложенный метод обнаружения атак может быть использован для построения систем защиты распределенных вычислительных систем в условиях функционирования в сетях общего доступа, где высока вероятность появления новых реализаций атак. Наибольшая эффективность метода достижима в тех системах, где множество классов объектов (используемых сервисов и программного обеспечения) ограничено и не меняется со временем существенным образом, что позволяет использовать модели нормального поведения для обнаружения атак.

Перспективой развития предложенного метода является исследование всех классов современных атак и оценка возможности построения грамматики для каждого класса в терминах операций доступа класса с ограниченным контекстом фиксированной длины (например, ЬЯ(к)-грамматику). Что позволит построить автомат, не только обнаруживающий произвольные атаки соответствующего класса, но и предсказывающий принадлежность наблюдаемой траектории классу атак до завершения атаки. Отдельный интерес представляет задача автоматизации построения автоматов первого и второго рода по заданным примерам атак и реальных приложений (включая приложения, доступные лишь в бинарном виде), а так же создание соответствующего инструментального средства.

6. ЗАКЛЮЧЕНИЕ

1. Ahmed Awad E. Ahmed, 1.sa Traore, "Anomaly Intrusion Detection based on Biometrics." // Proceedings of the 2005 IEEE, Workshop on Information Assurance, United States Military Academy, West Point, NY June 2005

2. Abraham A. and Thomas J., Distributed Intrusion Detection Systems: A Computational Intelligence Approach. // Applications of Information Systems to Homeland Security and Defense, Abbass H.A. and Essam D. (Eds.), Idea Group Inc. Publishers, USA, 2005

3. D Anderson, T Frivold, and A Valdes, "Next-generation intrusion-detection +ert system (NIDES)". // Technical Report SRI-CSL-95-07, Computer Science Laboratory, SRI International, Menlo Park, CA 94025-3493, USA, May 1995

4. J.P. Anderson, "Computer Security Threat Monitoring and Surveillance." // J.P. Anderson Co, Fort Washington, PA, April 1980

5. Amoroso, Edward, G., Intrusion Detection // 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999

6. Stefan Axelsson, "Research in Intrusion-Detection Systems: A Survey" // Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, 1999

7. Stefan Axelsson, "Intrusion detection systems: A survey and taxonomy." // Technical Report 99-15, Chalmers Univ., March 2000

8. Bace R. An Introduction to Intrusion Detection Assessment for System and Network Security Management. //1999

9. Jai Balasubramaniyan, Jose Omar Garcia-Fernandez, E. H. Spafford, Diego Zamboni, "An Architecture for Intrusion Detection using Autonomous Agents". // Department of Computer Sciences, Purdue University; Coast TR 98-05; 1998

10. A. Baur & W. Weiss, "Audit Analysis Tool for Systems with High Demands Regarding Security and Access Control." // Research Report, ZFE F2 SOF 42, Siemens Nixdorf Software, Munchen, November 1988

11. M. Blanc, L. Oudot, and V. Glaume, "Global Intrusion Detection: Prelude Hybrid IDS." //Technical Report, 2003

12. Damiano Bolzoni, Sandro Etalle, "APHRODITE: an Anomaly-based Architecture for False Positive Reduction" // University of Twente, The Netherlands, Arxiv preprint cs.CR/0604026, 2006

13. Damiano Bolzoni, Emmanuele Zambon, Sandro Etalle, Pieter Hartel, "Poseidon: A 2-tier anomaly-based intrusion detection system." // Technical report, Centre for Telematics and Information Technology, Univ. of Twente, The Netherlands. November 2005

14. J.M. Bradshaw, An introduction to software agents // J.M. Bradshaw (Ed.), Software Agents, AAA1 Press/MIT Press, Cambridge, MA, 1997, pp. 3-46 (Chapter 1).

15. Kalle Burbeck, "Adaptive Real-time Anomaly Detection for Safeguarding Critical Networks." // Department of Computer and Information Science, Link6pings universitet, Link6ping, Sweden, Linkoping, 2006

16. Gabriela F. Cretu, Janak J. Parekh, Ke Wang, Salvatore J. Stolfo, "Intrusion and Anomaly Detection Model Exchange for Mobile Ad-Hoc Networks." // Department of Computer Science, Columbia University, New York, US, 2005-2006

17. Herve Debar, Marc Dacier, and Andreas Wespi, "Towards a Taxonomy of Intrusion Detection Systems." //Computer Networks, vol. 31, pp. 805-822,1999

18. Christian Charras, Thierry Lecroq, Exact String Matching Algorithms, http://www-igm.univ-mlv.fr/~lecroq/string/index.html., 1997

19. Chung, M., Puketza, N. Olsson, R.A., & Mukherjee, B. (1995) Simulating Concurrent Intrusions for Testing Intrusion Detection Systems: Parallelizing. // NISSC. pp. 173-183.

20. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents. // Technical Report 95-022, COAST Laboratory, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, March 1994.

21. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents. // Proceedings of the 18th National Information Systems Security Conference, October 1995.

22. M. Crosbie, G. Spafford, Active defense of a computer system using autonomous agents. // Technical Report 95-008, COAST Group, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, Februaiy 1995.

23. Mark Crosbie, Bryn Dole, Todd Ellis, Ivan Krsul, and Eugene Spafford, "IDIOT— Users Guide." // The COAST Project, Dept. of Computer Science, Purdue University, West Lafayette, IN, USA, 4 September 1996

24. W Cui, R. Katz, and W. Tan. "BINDER: An Extrusion- Based Break-In Detector for Personal Computers." // Proc. USENIX Annual Technical Conference, 2005

25. Dasgupta D., Gonzalez F., K. Yallapu, Gomez, J., Yarramsettii, R., Dunlap, G. and Greveas, M., "CIDS: An Agent-based Intrusion Detection System." // CS Technical Report No. CS-02-001., Feb, 2002

26. Vaibhav Gowadia, Csilla Farkas, Marco Valtorta, "PAID: A Probabilistic Agent-Based Intrusion Detection system." // Computers & Security, 2005

27. Herve Debar, Monique Becker, and Didier Siboni, "A neural network component for an intrusion detection system." // Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240-250, Oakland, CA, USA, May 1992

28. Denault, M., Gritzalis, D., Karagiannis, D., and Spirakis, P. (1994). Intrusion Detection: Approach and Performance Issues of the SECURENET System. // Computers and Security Vol. 13, No. 6, pp. 495-507.

29. Denning, Dorothy. An Intrusion-Detection Model. // IEEE Transactions on Software Engineering, Vol. SE-13, No. 2., 1987

30. Cheri Dowel and Paul Ramstedt, "The computer watch data reduction tool." // Proceedings of the 13th National Computer Security Conference, pages 99-108, Washington DC, USA, October 1990

31. S.T. Eckmann, G. Vigna, and R. A. Kemmerer. "STATL: An Attack Language for State-based Intrusion Detection". // Dept. of Computer Science, University of California, Santa Barbara, 2000.

32. W.M. Farmer, J.D. Guttman, V. Swarup, Security for mobile agents: issues and requirements. // Proceedings of the 19th National Information Sytems Security Conference, vol. 2, National Institute of Standards and Technology, October 1996.

33. Debora Frincke, Don Tobin, Jesse McConell, A framework for cooperative intrusion detection. // Dept. of Computer Science, University of Idaho, Moscow, USA.

34. Ian Goldberg, David Wagner, Randi Thomans, and Eric Brewer, "A secure environment for untrusted helper applications (confining the wily hacker)." // Proceedings of the Sixth USENIX UNIX Security Symposium, San Jose, California, USA, July 1996

35. R. Gopalakrishna, E. H. Spafford, and J. Vitek, "Efficient Intrusion Detection Automaton Inlining." // Proc. IEEE Symp. on Security & Privacy, Oakland, CA, May 2005

36. Vladimir I. Gorodetski, Igor V. Kotenko. "Attacks Against Computer Network: Formal Grammar-Based Framework and Simulation Tool". // St. Petersburg Institute for Informatics and Automation, RAID 2002: 219-238

37. Noria Foukia, "IDReAM: Intrusion Detection and Response executed with Agent Mobility Architecture and Implementation." // Proceedings of the fourth international joint conference on Autonomous agents and multiagent systems, the Netherlands, 2005

38. J. Habra, B. Le Charlier, A. Mounji & I. Mathieu, "Preliminary Report on Advanced Security Audit Trail Analysis on UniX" // Research Report 1/92, Institut d'Informatique, University ofNamur, January 1992.

39. N. Habra, B. Le Charlier, A. Mounji, Advanced Security Audit Trail Analysis on uniX. Implementation Design of the NADF Evaluator. // Research Report, Computer Science Institute, University ofNamur, Belgium, March 1993.

40. Hatch, Brian, LIDS overview, 2001, http://www.lids.org/.

41. R. Heady, G. Luger, A. Maccabe, M. Servilla, The architecture of a network level intrusion detection system. // Technical Report, University of New Mexico, Department of Computer Science, August 1990.

42. Helman, P., Liepins, G., and Richards, W. Foundations of Intrusion Detection. // Proceedings of the Fifth Computer Security Foundations Workshop pp. 114-120. 1992

43. Y. Ho, Partial order state transition analysis for an intrusion detection system. // Master's thesis, University of Idaho, 1997.

44. Judith Hochberg, Kathleen Jackson, Cathy Stallings, J. F. McClary, David DuBois, and Josehpine Ford. NADIR: An automated system for detecting network intrusion and misuse. //Computers & Security, 12(3):235-248, 1993

45. S.A. Hofmeyr, An immunological model of distributed detection and its application to computer security. // Ph.D. thesis, University of New Mexico, May 1999.

46. Koral Ilgun, "USTAT: A real-time intrusion detection system for UNIX". // In Proceedings of the 1993 IEEE Symposium on Security and Privacy, pages 16-28, Oakland, California, 24-26 May 1993,

47. Koral Ilgun, Richard A Kemmerer, and Phillip A Porras, "State transition analysis: A rule-based intrusion detection approach". // IEEE Transactions on Software Engineering, 21(3): 181-199, March 1995

48. Kathleen A Jackson, David H DuBois, and Cathy A Stallings, "An +ert system application for network intrusion detection." // Proceedings of the 14th National

49. Computer Security Conference, pages 215-225,Washington, D.C., 1-4 October 1991

50. Rasool Jalili, Fatemeh Imani-Mehr, Morteza Amini, Hamid Reza Shahriari, "Detection of Distributed Denial of Service Attacks Using Statistical Pre-Processor and Unsupervised Neural Networks." // Lecture notes in computer science, 2005

51. Minna Kangasluoma, Policy Specification Languages, Department of Computer Science, Helsinki University of Technology, 1999, http://www.nixu.fi/~minna/draft2.html.

52. Calvin Ко, "Execution Monitoring of Security-critical Programs in a Distributed System: A Specification-based Approach." // PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996

53. Christopher Kruegel, Giovanni Vigna, William Robertson, "A multi-model approach to the detection of web-based attacks." // Computer Networks 48, 717-738,2005

54. Sandeep Kumar and Eugene H. Spafford, "A pattern matching model for misuse intrusion detection." // Proceedings of the 17th National Computer Security Conference, pages 11-21, Baltimore MD, USA, 1994

55. Sandeep Kumar and Eugene H. Spafford, "An application of pattern matching in intrusion detection." // Technical Report CSD-TR-94-013, The COAST Project, Dept. of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994

56. Sandeep Kumar and Eugene H. Spafford, "A software architecture to support misuse intrusion detection." // Technical report, The COAST Project, Dept. of Сотр. Sciences, Purdue Univ.,West Lafayette, IN, 47907-1398, USA, 17 March 1995

57. Sandeep Kumar, "Classification and Detection of Computer Intrusions." // PhD thesis, Purdue University, West Lafayette, Indiana, August 1995.

58. Шкап Kvarnstrom, "A survey of commercial tools for intrusion detection". // Technical Report 99-8, Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, 1999

59. Tao Li, Xiaojie Liu, and Hongbin Li "A New Model for Dynamic Intrusion Detection." // lecture notes in computer science, 2005

60. Lionel Litty, "Hypervisor-based Intrusion Detection." // Graduate Department of Computer Science, University of Toronto, 2005

61. W Lu, I Traore, "A new unsupervised anomaly detection framework for detecting network attacks in real-time." // Department of Electrical and Computer Engineering, University of Victoria, Lecture notes in computer science, 2005

62. Lunt, T.F. Real-Time Intrusion Detection. // Computer Security Journal Vol. VI, Number 1. pp. 9-14., 1989

63. T.F. Lunt, "Automated Audit Trail Analysis and Intrusion Detection: A Survey." // Proceedings of the Uth National Security Conference, Baltimore, MD, October 1988.

64. Bharath Madhusudan, John W. Lockwood, "A HARDWARE-ACCELERATED SYSTEM FOR REAL-TIME WORM DETECTION." // Micro, IEEE, 2005

65. Masayoshi Mizutani, Shin Shirahata, Masaki Minami, Jun Murai, "The Design and Implementation of Session Based NIDS." // IEICO. pages 551-562, Mar 2005

66. A. Mounji, Languages and Tools for Rule-Based Distributed Intrusion Detection. // PhD Thesis, Computer Science Institute, University of Namur, Belgium, Sept 1997.

67. A. Mounji, B. Le Charlier, D. Zampunieris, N. Habra, Preliminary Report on Distributed ASAX. // Research Report, Computer Science Institute, University of Namur, Belgium, May 1994

68. Mukherjee, В., Heberlein, L.T., Levitt, K.N. (May/June, 1994). Network Intrusion Detection. // IEEE Network, pp. 28-42.

69. Srinivas Mukkamala, Andrew H. Sung, Ajith Abraham, "Intrusion detection using an ensemble of intelligent paradigms." // Journal of Network and Computer Applications, 2005

70. Daniel C. Nash , An Intrusion Detection System for Battery Exhaustion Attacks on Mobile Computers. // Blacksburg, Virginia, 2005

71. Ozturk Ahmet, OSSEC-HIDS Capabilities, Architecture and plans. // Presentation at the 5th Linux and Free Software Festival, Ankara, Turkey, 2006.

72. Vern Paxon, "Bro: A system for detecting network intruders in real-time." // In Proceedings of the 7th USENIX Security Symposium, San Antonio, TX, USA, January 1988

73. V. Paxson, Bro: A System for Detecting Network Intruders in Real-Time. // Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999

74. Phillip A Porras and Alfonso Valdes, "Live traffic analysis of TCP/IP gateways." // Proceedings of the 1998 ISOC Symposium on Network and Distributed Systems Security, San Diego, California, 11-13 March 1998

75. Philip A Porras and Peter G Neumann, "EMERALD: Event monitoring enabling responses to anomalous live disturbances." // Proceedings of the 20th National Information Systems Security Conference, pages 353-365, Baltimore, Maryland, USA, 7-10 October 1997

76. Porras, P. A., Ilgun, K., and Kemmerer, R. A. (1995). State transition analysis: A rule-based intrusion detection approach. // IEEE Transactions on Software Engineering,SE-21: 181-199.

77. Т.Н. Ptacek, T.N. Newsham, Insertion, evasion, and denial of service: eluding network intrusion detection. //Technical Report, Secure Networks, January 1998.

78. Puketza, N. Chung, M., Olsson, R.A. & Mukherjee, B. (September/October, 1997). A Software Platform for Testing Intrusion Detection Systems. // IEEE Software, Vol. 14, No. 5

79. Guangzhi Qu, Salim Hariri, Mazin Yousif "Multivariate Statistical Analysis for Network Attacks Detection." // Computer Systems and Applications, 2005

80. Marcus J. Ranum, Experiences Benchmarking Intrusion Detection Systems, http://www.snort.org/docs/Benchmarking-IDS-NFR.pdf.

81. Roesch, Martin, Snort Users Manual, Snort Release: 2.4, 2007, http://www.snort.org/.

82. Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988

83. Mohammed Shahidul Alam "APHIDS++: Evolution of A Programmable Hybrid Intrusion Detection System." // The University Of British Columbia, Vancouver, Canada, 2005

84. Sheyner, Oleg "Scenario Graphs and Attack Graphs." // PhD thesis, SCS, Carnegie Mellon University, 2004.

85. S. Smaha, "Haystack: an intrusion detection system" // 4th Aerospace Computer Security Applications Conf., pp. 37-44. October 1988

86. Eugene H. Spafford, Diego Zamboni, Intrusion detection using autonomous agents. // Computer Networks, 34(4):547-570, October 2000.

87. Eugene H. Spafford, Diego Zamboni, Intrusion detection using autonomous agents. // Computer Networks, 34(4):547-570, October 2000.

88. T.Srinivasan, Jayesh Seshadri, J.B.Siddharth Jonathan, Arvind Chandrasekhar, "A System for Power-aware Agent-based Intrusion Detection (SPAID) in Wireless Ad Hoc Network." // Lecture notes in computer science, 2005

89. Staniford-Chen, S. Using Thumbprints to Trace Intruders. // UC Davis, 1995

90. G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach." // Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998.

91. G. Vigna, R.A. Kemmerer, "NetSTAT: A Network-based Intrusion Detection System." //Journal of Computer Security, 7(1), IOS Press, 1999.

92. R.A. Whitehurst, "Expert Systems in Intrusion Detection: A Case Study." // Computer Science Laboratory, SRI International, Menlo Park, CA, November 1987.

93. Yoann Vandoorselaere, Laurent Oudot, "Prelude, an Hybrid Open Source Intrusion Detection System", http://www.prelude-ids.org/.

94. M.P.Zielinski, "Applying Mobile Agents in an Immune-system-based intrusion detection system." // University of South Africa, 2004

95. ГОСТ P 50922-96: Защита информации. Основные термины и определения. // Госстандарт России, Москва, 1996г.

96. Гамаюнов Д. Ю., Смелянский P. JL, Модель поведения сетевых объектов в распределенных вычислительных системах. // Журнал «Программирование», 2007, №4.

97. P.JI. Смелянский, Д. Ю. Гамаюнов. "Современные некоммерческие средства обнаружения атак". // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2002 г.

98. Р.Л. Смелянский, А.И. Качалин. "Применения нейросетей для обнаружения аномального поведения объектов в компьютерных сетях". // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2004.

99. Тараканов А.О. Математические модели обработки информации на основе результатов самосборки. // Диссертация д.ф.-м.н., С.-П., 1999.